jenkins容器中使用docker

在项目中要使用jenkins实现自动化CI/CD功能，jenkins以docker容器方式运行，其中项目编译完要以docker方式构建image，上传到harbor私有仓库中。那jenkins容器中就要有docker运行环境以实现docker build images。

我使用的官方的镜像文件 jenkins/jenkins:lts ，jenkins容器中是要以jenkins用户方式运行的。但宿主机host中的docker是以root所有的。

这是因为当前容器中是以jenkins用户在运行的，所以没有权限去访问/var/run/docker.sock。

可以看到容器中还是宿主机的权漏卖限模式，其中994是宿主机的docker的GID

宿主机的docker GID查看

为了验证这个问题，可以把jenkins容器以root用户方式去运行。

可以看到以root方式运行，是可以成功执行docker info命令的，这说明可以在jenkins容器中运行了。

docker-jenkins-test镜像Dockerfile如下：

在参考其他几种jenkins with docker的实猛搜棚现方式：

How can i run docker command inside a docker container?

A jenkins capable of running docker agents using docker engine of host.

Use docker inside docker with jenkins user 里面有各种实现方式，但我试验过了，在不改变宿主机/var/run/docker.sock权限的情况，都没有成功过。

最简单的，就是在容器中不jenkins用户运行。

The simple way to run Docker-in-Docker for CI 跟枝则这个仁兄实现方法类似，以root用户去运行，手工安装docker，再挂载宿主机/var/run/docker.sock。

启动容器

运行情况：

这个jenkins容器中docker info跟宿主机的docker info是一样的。

第一次发布博客。希望可以给需要的朋友们一些帮助。

本文基于64位的CentOS 7.2系统，内核版本如下：

Docker版本如下：

如需安装Docker，请点击： 安装Docker

如需安装Docker加速，请点击： 配置Docker加速

其实就是运行一个Jenkins镜像的docker容器，这种方式使用socket套接字（一般默认是/var/run/docker.sock文件）和宿主机进行交互，只限于本地通信。不会去监听任何端口。在创建Jenkins镜像时，可以给jenkins用户赋予sudo权限来调用docker命令；或者将jenkins用户加入到docker组，就可以直接在容器中调闭裤用docker命令，下文会分别讲到两种情况的Dockerfile的写法。不过相比较于不同的宿主机docker组的不同，使用腔态明sudo更具有普适性和可移植性。

顾名思义，就是在Docker容器中重新安装一个Docker应用。容器中安装Docker和宿主机安装的Docker是完全没有关联的两个程序。一般情况下，我们想要的只是一个运行于docker的CI/CD环境，我们需要容器内外只有一个docker engine。 DinD显然比我们想要的要复杂的多，而且可能还有一些意想不到的问题会出现。

更详细的了解，请参考下面两篇文章：

https://zhuanlan.zhihu.com/p/27208085

https://github.com/jpetazzo/dind

Docker还可以对外暴露Remote API，通过http/https就可以与docker engine进行通信，因为打开Remote API相应的要对外暴露端口，所以相对来说是不安全的。

在Jenkins容器中可以通过配置相应的Docker plugin，并在“系统管理”——>“系统设置”——>“云”中增添响应的Remote API信息。

详细信息请参考：

https://docs.docker.com/engine/security/https/

进过对比，我使用的是第一种方式：DooD。

注意点：请确保宿主机的doeker server已经开启本地套接字访问和远程通信

默认情况下，Docker守护进程会生成一个socket（/var/run/docker.sock）文件来进行本地进程通信，而不会监听任何端口，因此只能在本地使用docker客户端或者使用Docker API进行 *** 作。

如果想在其他主机上 *** 作Docker主机，就需要让Docker守护进程监听一个端口，这样才能实现远程通信。

目前开启本地套接字访问和远程通信有以下两种方式：

把以下内容添加进json文件中，注意添加前请确认2375端口是否被占用！！伍告！

如下图所示：

以上两种方式都可以通过下面的方式验证 docker remote API的2375端口是否开启

netstat -apn | grep 2375

在本地宿主机上新建一个Jenkins镜像数据的挂载目录，进行Jenkins数据的备份和持久化；因为Jenkins镜像中的Dockerfile中/var/jenkins_home权限为1000:1000，所以此处我们需要修改宿主机上的挂载目录权限，否则会出现权限不足的问题。注意：如果在生产中这样使用，一开始需要给/var/jenkins分配一个合理的容量，否则随着jenkins构建的增多会出现空间不足等问题。如下图：

第一种：在docker容器中，jenkins用户使用sudo执行docker命令

第二种：在docker容器中，jenkins用户可直接使用docker命令

我选用的是第二种，但是因为所在宿主机的不同，docker_gid会有所差异，建议使用第一种方式。

在上一步构建好的Dockerfile所在目录，执行下面的命令构建Jenkins镜像

使用上一步构建好的镜像，启动Jenkins容器，命令如下

使用如下命令查看安装密码，也可直接去看容器里边对应位置的文件（/var/jenkins_home/secrets/initialAdminPassword），或者去宿主机挂载的目录下查看文件（/var/jenkins//secrets/initialAdminPassword）

5.1 docker-client版本问题

Q1:搭建的jenkins容器出现下列错误，在容器中无法正常运行docker命令，可能是docker client的版本问题。

我当时出现问题的版本如下：

A1:该问题，有两种解决办法：第一，卸载重新安装合适的版本，上图这个版本是我使用yum install 安装的版本；第二种，只需安装docker-client。

Docker官网： https://www.docker.com/

Docker社区： https://forums.docker.com/

DaoCloud： https://www.daocloud.io/

DockOne: http://dockone.io/

Jenkins Base Dockerfile Github: https://github.com/jenkinsci/docker/blob/master/Dockerfile

https://zhuanlan.zhihu.com/p/27208085

https://www.cnblogs.com/leolztang/p/6934694.html

https://blog.csdn.net/xinluke/article/details/52267995

https://www.cnblogs.com/leolztang/p/6934694.html

---